Criterios de éxito para la estrategia de acceso con privilegios

  • Artículo
  • Tiempo de lectura: 9 minutos

En este documento se describen los criterios de éxito de una estrategia de acceso con privilegios. En esta sección se describen las perspectivas estratégicas del éxito para una estrategia de acceso con privilegios. Para obtener una hoja de ruta sobre cómo adoptar esta estrategia, vea el plan de modernización rápida (RaMP). Para obtener instrucciones de implementación, vea Implementación de acceso con privilegios

Implementar una estrategia holística con enfoques de confianza cero crea un "sello" de ordenación sobre el control de acceso para un acceso privilegiado que hace que sea resistente a los atacantes. Esta estrategia se logra limitando las vías de acceso privilegiado solo a unos pocos y, después, protegiendo y supervisando estrechamente esas vías autorizadas.

Fin del objetivo de estado con rutas de entrada limitadas para los atacantes

Una estrategia correcta debe abordar todos los puntos que los atacantes pueden usar para interceptar flujos de trabajo de acceso con privilegios, incluidas cuatro iniciativas distintas:

  • Elementos de flujo de trabajo de Access con privilegios del flujo de trabajo de acceso con privilegios, incluidos dispositivos subyacentes, sistemas operativos, aplicaciones e identidades
  • Sistemas de identidad que hospedan las cuentas con privilegios y los grupos, y otros artefactos que confieren privilegios a las cuentas
  • Flujo de trabajo de acceso de usuario y rutas de elevación autorizadas que pueden dar lugar a acceso con privilegios
  • Interfaces de aplicaciones en las que se exige la directiva de acceso de confianza cero y el control de acceso basado en roles (RBAC) está configurado para conceder privilegios

Nota

Una estrategia de seguridad completa también incluye protección de activos que están fuera del ámbito del control de acceso, como copias de seguridad de datos y protección contra ataques en la propia aplicación, el sistema operativo y el hardware subyacentes, en las cuentas de servicio usadas por la aplicación o servicio, y en los datos en reposo o en tránsito. Para obtener más información sobre cómo modernizar una estrategia de seguridad para la nube, vea el artículo Definir una estrategia de seguridad.

Un ataque consiste en atacantes humanos que aprovechan la automatización y los scripts para ataque a una organización está compuesto por humanos, los procesos que siguen y la tecnología que usan. Debido a esta complejidad tanto de los atacantes como de los defensores, la estrategia debe ser multifacista para protegerse de todas las personas, procesos y formas tecnológicas que las garantías de seguridad podrían verse inadvertidas.

Para garantizar un éxito sostenible a largo plazo, es necesario cumplir los siguientes criterios:

Priorización despiadada

La priorización despiadada es la práctica de realizar las acciones más eficaces con el tiempo más rápido para valorar primero, incluso si esos esfuerzos no se ajustan a planes, percepciones y hábitos preexistentes. Esta estrategia establece el conjunto de pasos que se han aprendido en el ardiente crisol de muchos incidentes importantes de ciberseguridad. Los aprendizajes de estos incidentes forman los pasos que ayudamos a las organizaciones a realizar para garantizar que estas crisis no vuelvan a ocurrir.

Aunque siempre es tentador para los profesionales de la seguridad intentar optimizar los controles existentes conocidos, como la seguridad de red y los firewalls para ataques más recientes, esta ruta conduce de forma coherente a errores. El equipo de detección y respuesta (DARDO) de Microsoft ha respondido a los ataques de acceso privilegiados durante casi una década y ve de forma coherente que estos enfoques de seguridad clásicos no detectan ni detienen estos ataques. Aunque la seguridad de red proporciona una limpieza de seguridad básica necesaria e importante, es fundamental salir de estos hábitos y centrarse en mitigaciones que disuadirán o bloquearán los ataques del mundo real.

Priorice de forma despiadada los controles de seguridad recomendados en esta estrategia, incluso si cuestiona las suposiciones existentes y obliga a los usuarios a aprender nuevas aptitudes.

Equilibrar la seguridad y la productividad

Al igual que con todos los elementos de la estrategia de seguridad, el acceso privilegiado debe garantizar que se cumplen los objetivos de productividad y seguridad.

Equilibrar la seguridad evita los extremos que crean un riesgo para la organización:

  • Evitar una seguridad muy estricta que haga que los usuarios se aparten de las directivas, las rutas y los sistemas seguros.
  • Evitar una seguridad débil que dañe la productividad al permitir que los adversarios comprometan fácilmente la organización.

Para obtener más información sobre la estrategia de seguridad, vea el artículo Definir una estrategia de seguridad.

Para minimizar el impacto empresarial negativo de los controles de seguridad, debe priorizar los controles de seguridad invisibles que mejoran los flujos de trabajo de los usuarios o, al menos, no impiden ni cambian los flujos de trabajo de los usuarios. Aunque los roles confidenciales de seguridad pueden necesitar medidas de seguridad visibles que cambien sus flujos de trabajo diarios para proporcionar garantías de seguridad, esta implementación debe realizarse cuidadosamente para limitar el impacto y el ámbito de usabilidad tanto como sea posible.

Esta estrategia sigue esta guía definiendo tres perfiles (detallados más adelante en Mantenerlo simple: Personas y perfiles)

Productividad y seguridad aumentada por niveles de privilegios

Asociaciones sólidas dentro de la organización

La seguridad debe trabajar para crear asociaciones dentro de la organización para tener éxito. Además de la verdad atemporal de que "ninguno de nosotros es tan inteligente como todos nosotros", la naturaleza de la seguridad es ser una función de soporte para proteger los recursos de otra persona. La seguridad no es responsable de los recursos que ayudan a proteger (rentabilidad, tiempo de actividad, rendimiento, etc.), la seguridad es una función de soporte que proporciona asesoramiento y servicios expertos para ayudar a proteger la propiedad intelectual y la funcionalidad empresarial que es importante para la organización.

La seguridad siempre debe trabajar como partner en apoyo de los objetivos empresariales y de misión. Aunque la seguridad no debe evitar dar consejos directos como recomendar no aceptar un alto riesgo, la seguridad también debe enmarcar siempre ese consejo en términos del riesgo empresarial en relación con otros riesgos y oportunidades administrados por los propietarios de recursos.

Aunque algunas partes de la seguridad se pueden planear y ejecutar correctamente principalmente dentro de la organización de seguridad, muchas de ellas, como proteger el acceso con privilegios, requieren trabajar estrechamente con las organizaciones empresariales y de TI para comprender qué roles proteger y ayudar a actualizar y rediseñar flujos de trabajo para asegurarse de que son seguros y permitir que los usuarios realicen su trabajo. Para obtener más información sobre esta idea, vea la sección Transformaciones, ideas y expectativas en el artículo guía de estrategia de seguridad.

Interrumpir el retorno de la inversión de los atacantes

Mantenga el foco en el pragmatismo asegurándose de que es probable que las medidas defensivas interrumpan significativamente la propuesta de valor del atacante de ataque, lo que aumenta el costo y la fricción en la capacidad del atacante para agredirte correctamente. Evaluar cómo las medidas defensivas afectarían al costo del ataque del adversario proporciona un aviso saludable para centrarse en la perspectiva de los atacantes, así como un mecanismo estructurado para comparar la eficacia de las diferentes opciones de mitigación.

Su objetivo debe ser aumentar el costo de los atacantes y minimizar su propio nivel de inversión en seguridad:

Aumentar el coste de ataque con un coste de defensa mínimo

Interrumpir el retorno de la inversión (ROI) de los atacantes aumentando su costo de ataque en todos los elementos de la sesión de acceso privilegiado. Este concepto se describe con más detalle en el artículo Criterios de éxito para la estrategia de acceso con privilegios.

Importante

Una estrategia de acceso privilegiado debe ser exhaustiva y proporcionar una defensa en profundidad, pero debe evitar la falacia Gastos en profundidad en la que los defensores simplemente se apilarán en controles de tipo más (conocidos) (a menudo firewalls o filtros de red) más allá del punto donde agregan cualquier valor de seguridad significativo.

Para obtener más información sobre el retorno de la inversión de los atacantes, vea el breve vídeo y la discusión detallada Interrupción del retorno de la inversión del atacante.

Principio de fuente limpia

El principio de origen limpio requiere que todas las dependencias de seguridad sean tan confiables como el objeto que se protege.

Principio de fuente limpia

Cualquier asunto que controle un objeto es una dependencia de seguridad de ese objeto. Si un adversario puede controlar cualquier cosa que tenga el control de un objeto de destino, puede controlar ese objeto de destino. Debido a esta amenaza, debe asegurarse de que las garantías para todas las dependencias de seguridad están por encima del nivel de seguridad deseado del objeto en sí. Este principio se aplica a muchos tipos de relaciones de control:

Si un atacante controla alguna parte del objetivo, controla el objetivo

Aunque en principio es sencillo, este concepto se vuelve complejo fácilmente en el mundo real, ya que la mayoría de las empresas crecieron de forma orgánica durante décadas y tienen muchos miles de relaciones de control recursivamente que se crean entre sí, se repiten entre sí o ambas. Esta web de relaciones de control proporciona muchas rutas de acceso que un atacante puede descubrir y navegar durante un ataque, a menudo con herramientas automatizadas.

La estrategia de acceso privilegiado recomendada por Microsoft es efectivamente un plan para desenredar las partes más importantes de este nudo primero con un enfoque de confianza cero, validando explícitamente que el origen está limpio antes de permitir el acceso al destino.

En todos los casos, el nivel de confianza del origen debe ser el mismo o superior que el destino.

  • La única excepción notable a este principio es permitir el uso de dispositivos personales no administrados y dispositivos asociados para escenarios empresariales. Esta excepción permite la colaboración empresarial y la flexibilidad y se puede mitigar a un nivel aceptable para la mayoría de las organizaciones debido al bajo valor relativo de los activos empresariales. Para obtener más contexto sobre la seguridad BYOD, vea la entrada de blog Cómo una directiva BYOD puede reducirel riesgo de seguridad en el sector público.
  • Sin embargo, esta misma excepción no se puede extender a niveles de seguridad especializados y de seguridad privilegiados debido a la confidencialidad de seguridad de estos activos. Algunos proveedores de PIM/PAM pueden defender que sus soluciones pueden mitigar el riesgo de dispositivos desde dispositivos de nivel inferior, pero no estamos de acuerdo con esas afirmaciones en función de nuestra experiencia investigando incidentes. Los propietarios de activos de su organización pueden optar por aceptar el riesgo de usar dispositivos de nivel de seguridad empresarial para acceder a recursos especializados o privilegiados, pero Microsoft no recomienda esta configuración. Para obtener más información, vea las instrucciones intermedias para administración de acceso privilegiado/administración de identidades con privilegios.

La estrategia de acceso privilegiado cumple este principio principalmente al aplicar la directiva De confianza cero con acceso condicional en las sesiones entrantes en interfaces e intermediarios. El principio de origen limpio comienza con la obtención de un nuevo dispositivo de un OEM que se basa en las especificaciones de seguridad, incluida la versión del sistema operativo, la configuración de línea base de seguridad y otros requisitos, como el uso de Windows Autopilot para la implementación.

Opcionalmente, el principio de origen limpio puede extenderse a una revisión muy rigurosa de cada componente de la cadena de suministro, incluidos los medios de instalación para sistemas operativos y aplicaciones. Aunque este principio sería adecuado para las organizaciones que se enfrentan a atacantes altamente sofisticados, debería ser una prioridad menor que los demás controles de esta guía.

Pasos siguientes